'Mockingjay' adlı yeni bir proses enjeksiyon tekniği, tehdit aktörlerinin EDR'yi (uç nokta algılama ve yanıt) ve diğer güvenlik ürünlerini, tehlikeye atılan sistemlerde gizli bir şekilde yürütmesine izin verebilir.
Siber güvenlik firması Güvenlik Joes'teki araştırmacılar, EDR kancalarından kaçınmak ve uzak işlemlere kod enjekte etmek için RWX (okuma, yazma, yürütme) bölümleri ile meşru DLL'leri kullanan yöntemi keşfettiler.
Süreç enjeksiyonu, işletim sistemi tarafından güvenilen başka bir çalışma sürecinin adres alanında keyfi kod yürütme yöntemidir, böylece tehdit aktörlerine tespit edilmeden kötü amaçlı kod çalıştırma yeteneği verir.
Proses enjeksiyon tekniklerine örnek olarak DLL enjeksiyonu, PE (taşınabilir yürütülebilir) enjeksiyon, yansıtıcı DLL enjeksiyonu, iplik yürütme kaçırma, işlem oyma, haritalama enjeksiyonu, APC (asenkron prosedür çağrısı) enjeksiyonu ve diğerleri sayılabilir.
Tüm bu tekniklerde, saldırganlar Windows API'lerini ve çeşitli sistem çağrılarını kullanmalı, süreçler/iş parçacıkları oluşturmalı, süreç belleği yazmalı, vb. Bu nedenle, yukarıdaki olayları tespit edebilir ve gerektiği gibi müdahale edebilir.
Güvenlik Joes, Mockingjay'in yaygın olarak istismar edilen Windows API çağrılarını kullanmadığı, özel izinler ayarlamadığı, bellek tahsisi gerçekleştirmediği veya hatta bir iş parçacığı başlattığını ve dolayısıyla birçok olası algılama fırsatını ortadan kaldırdığı için diğer yaklaşımlardan öne çıktığını söylüyor.
Araştırmacıların ilk hedefi, varsayılan bir RWX bölümüne sahip savunmasız bir DLL bulmaktı, böylece güvenlik yazılımında kırmızı bayrakları yükseltebilecek ek izinler kazanma gibi ekstra adımlar gerçekleştirmeden içeriğini kötü amaçlı kod yüklemek için değiştirebilirlerdi.
Güvenlik Joes analistleri, uygun bir DLL arayışında, 16 kb boyutunda varsayılan RWX bölümüne sahip olan Visual Studio 2022 topluluğunun içinde DLL MSYS-2.0.dll'i keşfetti.
Raporu, "Önceden var olan bu RWX bölümünden yararlanarak, sunduğu doğal bellek korumalarından yararlanabilir, EDR'ler tarafından zaten bağlanmış olabilecek işlevleri etkili bir şekilde atlayabiliriz."
"Bu yaklaşım sadece Userland Hooks tarafından uygulanan sınırlamaları atlatmakla kalmaz, aynı zamanda enjeksiyon tekniğimiz için sağlam ve güvenilir bir ortam oluşturur."
Daha sonra, ekip biri kendi kendine enjeksiyon ve diğeri uzaktan işlem enjeksiyonu için iki enjeksiyon yöntemi geliştirdi.
İlk durumda, özel bir uygulama ("Nightmare.exe") savunmasız DLL'yi doğrudan iki Windows API çağrısı kullanarak bellek alanına doğrudan yükler ve bellek tahsisi gerçekleştirmeden veya izinleri ayarlamadan RWX bölümüne doğrudan erişim sağlar.
Daha sonra, temiz bir sistem modülü olan ntdll.dll, daha sonra "Cehennem Kapısı EDR'nin kandırma" tekniğini kullanarak EDR kancalarını atlamak için kullanılan Syscall numaralarını çıkarmak için istismar edilir ve enjekte edilen kabuk kodunun tespit edilmeden çalışmasına izin verir.
İkinci yöntem, uzak bir işleme, özellikle "SSH.EXE" işlemine bir yük yükü enjekte etmek için msys-2.0.dll TWX bölümünden yararlanmayı içerir.
Özel uygulama, SSH.exe'yi bir alt işlem olarak başlatır, hedef sürece bir tutam açar ve kötü amaçlı kodu savunmasız DLL'nin RWX bellek alanına enjekte eder.
Son olarak, enjekte edilen kabuk kodu "mylibrary.dll" dll dosyasını yükler ve saldırganın makinesiyle bir saldırı örneği olarak bir ters kabuk oluşturur.
Testler, hedef işlem içinde yeni bir iş parçacığı oluşturulmasını, bellek tahsis etmeyi veya izinleri ayarlamayı gerektirmeyen bu uzak enjeksiyon saldırısının EDR çözümlerinden başarılı bir şekilde kaçtığını gösterdi.
Mockingjay'de önerilen her iki yöntem de yanlış yapılandırılmış bir DLL yüklemek ve DLL'nin RWX bölümünün adresini bulmak için 'LoadLibraryw', 'CreateProcessw' ve 'getModuleInformation' gibi Windows API'leri kullanır.
Bununla birlikte, EDR'ler genellikle geleneksel işlem enjeksiyon saldırılarında daha yaygın olarak çağrılan 'WriteProcessMemory', 'ntwriteVirtualMemory', 'Createmotethread' veya 'ntcreatethreadex' gibi API'leri izler. Bu nedenle, alaycı jay'in alarmları yükseltme olasılığı daha düşüktür.
Joes Security tarafından 'Mockingjay'in geliştirilmesi, kuruluşların neden yalnızca mevcut EDR çözümlerine güvenmek yerine bütünsel bir güvenlik yaklaşımı benimsemeleri gerektiğinin bir başka göstergesidir.
Windows 11 KB5027231 ayrıca Cisco, WatchGuard EDR kullanıcıları için Chrome'u kırıyor
Terminatör Antivirüs Killer, kılık değiştirmiş savunmasız bir Windows sürücüsüdür
WordPress eklentisi "Yerçekimi Formları" PHP nesne enjeksiyonuna karşı savunmasız
Microsoft, bilgisayar korsanlarının SIP kök kısıtlamalarını atlamasına izin veren macOS hatasını bulur
Cisa, Saldırılarda Sömürülen Samsung ASLR Bypass kusurunu uyarıyor
Kaynak: Bleeping Computer